Caso de Harvard Gestão Projetos em Segurança da Informação PMI

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

UNIVERSIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Ivane Gonçalves
Trabalho da disciplina: Gestão Projetos em Segurança da Informação PMI
 Tutor: Prof. LUIZ ROBERTO MARTINS BASTOS 
Presidente Vargas
2017
ESTUDO DO CASO 
Prioridade de TI Priorização entre uma Pasta de Projetos
REFERÊNCIA: ESTUDO DO CASO Prioridade de TI Priorização entre uma Pasta de Projetos Robert D. Austin, Richard L. Nolan, e Shannon O’Donnell
Mais uma vez, Barton estava em uma reunião aparentemente interminável com Gary Geisler. Mas ele só podia culpar a ele mesmo. A última reunião da equipe de liderança tinha incluído uma discussão sobre a abordagem da empresa à alocação de recursos e maximização de retornos. Cada departamento, a equipe decidira, avaliaria sua abordagem atual à alocação de recursos e proporia aprimoramentos para aumentar o retorno sobre o investimento. Em TI, isso significava entender e aprimorar processos para descobrir quais projetos mereceriam investimento - o que exigia que Barton novamente se aprofundasse nos números com Geisler.
John acha que provavelmente isso não é importante.
 “Ele não tem certeza? ” Fenton falou como se Barton já soubesse deste problema, mas ele não se lembrava de tê-lo discutido.
A maior parte das coisas que você vê, que disparam alarmes de detecção de invasão, são alarmes falsos. Uma atividade perfeitamente normal e explicável que estamos vendo pela primeira vez na imensa complexidade de fluxos de pacotes na rede. Um roteador mal configurado, ou um que apresente um problema leve, mas funcionalmente sem importância, devido ao design do fabricante, pode gerar o que pode parecer modelos de tráfego estranhos até que você os entenda. E há muito mais coisas desse tipo, mas não teríamos tempo de explicar.
“Por isso eu disse que odeio fala sobre isso de novo. Podemos fechar as falhas de segurança que Cho acha mais preocupante com um projeto de upgrade.”
“Porque não fechamos todas as falhas de segurança?”
Fenton sorriu pacientemente. “É impossível garantir que você não tem nenhuma fraqueza de segurança. Ou melhor, isso exigiria uma quantidade infinita de despesas. Por isso, nós focamos primeiro nas falhas com maior probabilidade ou que trariam piores consequências, e então seguimos para as menores. ”
“Parece razoável. Vamos fazer isso. ”
Vou me reunir com ele após o almoço. Falarei com ele sobre isso. Na verdade, isso tem a ver com alguns trabalhos que estamos fazendo nas reuniões de equipe de liderança.
A conversa terminou ali, embora o almoço continuasse por muito mais tempo. Fenton estava mostrando-se um gerente muito bom em sua área profundamente técnica
“Nós podemos, às vezes, mas temos dificuldade em conseguir a aprovação de alguns projetos. Especialmente os profundamente técnicos que não trazem benefícios diretos a clientes. O projeto de Cho é uma coisa de manutenção preventiva, no meu entender. Nenhum benefício direto, apenas prevenção a danos futuros, hipotéticos. Ele estava na lista de projetos proposta; mas não recebeu verba. ”
Geisler olhou para baixo, para sua pasta, abriu-a em uma determinada seção então procurou na página com seu dedo indicador. “Ok, vamos lá. Está aqui. ‘Consolidação da rede. ’ Há alguns anos, quando nós nos fundimos com a People's, nós meio que 'colamos' a rede deles à nossa. Eles usavam uma tecnologia diferente, e nós conseguimos colocar as duas para funcionar juntas, mas a manutenção das duas - no meu entender-nos expõe a riscos adicionais. Nós colocamos este projeto no processo de aprovação de projetos gerais dois anos em seguida, e ele foi dispensado as duas vezes. ” Barton achou que Geisler estava ficando pálido: “Davies o apresentou. Ele apresentou o argumento que John preparou, mas foi técnico e não explicou muito bem. Segurança é uma área bastante técnica. ”
“Ele deixou bem claro que não fazer o projeto colocava a empresa em perigo? ” Geisler parecia definitivamente estar com vergonha. Ele se contorceu: “Sim, nós achamos que fez isso. Nós aqui do TI. ”
“Nós não deveríamos usar caixa dois ou joguetes com o orçamento para tarar de um risco de segurança, ” opinou Barton. “No futuro, eu gostaria de levar esse tipo de projeto diretamente para o processo, explicar a questão
Justificando-a claramente e vigorosamente, e enfrentar qualquer um que serecusar a enxergar a realidade. ”
Barton parou para pensar. Ele não se recordava da reunião, mas ele reclamou muitas vezes da forma que TI apresentava suas propostas de projeto.
“O que eu disse? ” Barton perguntou.
“Você estava insatisfeito com a natureza técnica da explicação. Você disse que eles deveriam voltar quando conseguissem falar inglês. Se bem me lembro, a frase que você usou para começar a discussão do projeto, logo depois que eles o apresentaram foi: ‘Habla ingles?’ Todo mundo riu, e nós então percebemos que o projeto seria rejeitado. ”
Barton lembrou-se disso. Ele e outros gerentes da unidade comercial riram disso por vários dias. Davies ficou vermelho e falou muito pouco na reunião seguinte. Agora que Geisler relembrava os eventos daquele dia, oi rosto do próprio Barton ficou vermelho. Era um sentimento incomum para uma pessoa que normalmente achava estar correta sobre a maior parte das coisas. Vergonha era um sentimento que raramente penetrava a autoconfiança de Barton.
A escolha do novo CIO na IVK não tinha sido uma boa notícia para
Cho. Barton precisaria acompanhar isso. A empresa precisava de John Cho. E isso era mais outro motivo porque este projeto de upgrade precisava ser aprovado dessa vez.
“De qualquer forma, ” Barton disse, recuperando-se e retomando o comando, “podemos ter que mudar um pouco a forma como estamos fazendo as coisas por aqui. Talvez precisemos melhorar a apresentação de nossos motivos para justificar projetos de TI.”
“Primeiro, quero conseguir alguma forma de financiar isso — uma forma franca, não envolvendo caixa dois. Em segundo lugar, quero que revisemos o processo que usamos para decidir como alocar o orçamento de TI, como decidimos quais prioridades financiar. E, como esta situação demonstra, temos de aprimorar o processo. Quero suas recomendações. Enviarei um e-mail aos meus subordinados diretos também, pedindo a opinião deles. ”
Barton pensou em pedir que Geisler preparasse uma reavaliação curta sobre o que tinha dado errado com este determinado projeto de upgrade de infraestrutura, para usar como base para ter recomendações de seus gerentes de TI. Barton achava que eles dariam um conselho mais embasado para este caso do que à ideia no resumo; e o exemplo deu a Barton a oportunidade de demonstrar liderança. Ele reconheceria que estava enganado quando rejeitou o projeto como diretor de Operações de Empréstimo.
Era uma ótima ideia, exceto por uma coisa: Isso era sobre segurança. Se algum problema de segurança acontecesse, podia não ser uma boa ideia ter evidências de processos disfuncionais anteriores, aguardando serem descobertas por advogados de querelantes em processos de acionistas
Sexta-feira, 4 de maio, 19h35..
Barton deu outra mordida em sua salade aux foies de volailles e bebeu o vinho encorpado e ligeiramente amargo que o garçom lhe recomendara. A combinação de sabores colaborou com sua sensação geral de bem-estar. Maggie, sentada à sua frente, saboreava um aperitivo de cogumelos portobello. Tê-la na cidade no fim de semana deixava Barton com um estado de espírito positivo, e a comida e a bebida eram fabulosas, mas não era apenas isso que o agradava. A semana tinha corrido bem. Ele era CIO por mais de um mês, e as coisas ainda continuavam de pé. Ele também achava que tinha tomado uma decisão importante. Ele quebrou um de seus antigos acordos que tinha com Maggie - não falar sobre o trabalho na sexta à noite - porque ele queria saber o que ela pensava sobre uma decisão que ele estava perto de tomar.
“Um pouco de cada coisa. Mas se eu tiver o controle do orçamento, posso corrigir
alguns problemas com a definição de prioridades, e posso impedir que a equipe de TI seja afetada sempre que as prioridades mudarem por motivos ruins. Hoje, alguns de meus subordinados têm suas prioridades reajustadas quase uma vez por semana, ou mais que isso. Não há na que eles possam fazer. É terrível. Em uma semana o Projeto A é urgente, na próxima semana é o Projeto G. Precisamos de uma mão firme.”
Barton na verdade não tinha pensado nisso. Ele tinha concebido a ideia de assumir o orçamento de TI como uma forma de corrigir os problemas imediatos com priorização, como o problema que Fenton e Cho tinham informado. Barton queria proteger a integridade do processo contra influências do tipo de problema que ele tinha causado quando era chefe de
Operações de Empréstimo. Ele tinha que admitir, também, que ele queria mostrar, principalmente para John Cho, mas também para outros, uma vontade de desfazer seu erro, de fazer a coisa certa “Não há uma forma melhor, ” ela começou, entre as primeiras mordidas, confundindo Barton inicialmente, que não percebeu que ela voltava a falar de prioridades de TI, “mas o que você está propondo vai contra os conselhos que eu às vezes te dou. Posso pensar em objeções em vários níveis, mas o primeiro tem a ver com o que eu gosto de problema de "um pescoço no laço”. ”
Você assume o orçamento de TI, contudo, você está efetivamente deixando que eles tirem seus pescoços fora. Será você quem toma as decisões de troca. Quando algo der errado, será você que sentirá o laço apertar. Só você.
Eles podem até sentir algo, mas a reação deles à própria dor provavelmente será se virar e apertar o laço em volta do seu pescoço. ” Barton considerou isso. Maggie tinha razão, ele pensou, e isso o deixou aborrecido. Até certo ponto. “Mas se a alternativa não é realizável, ” ele perguntou, “é uma verdadeira alternativa? ”
Ela encolheu os ombros. “Talvez não. Eu já vi isso funcionar bem e, mais comumente, muito mal. Provavelmente dependerá de sua avaliação doque é possível na IVK.” Li em algum lugar sobre um sistema que foi introduzido em uma empresa de carros. A Volkswagen da América, acho. Peça para seu subordinado - como é nome dele, Geisler? - Procurar isso para você. Ele achará se procurar ‘Prioridades de TI da Volkswagen América. Mas eles também não tinham nada funcionando direito.
“Primeiro, o processo deve ser possuído pelas unidades comerciais, não pelo departamento de TI. Cada unidade comercial contribui com um representante que tem a autoridade para tomar decisões. Isso começa a pelo menos resolver o problema do laço no pescoço. Isso impede que o departamento de TI e o CIO sejam os únicos responsáveis por resultados que TI não pode resolver completamente ou impedir que aconteçam. é muito importante para o comportamento de gerentes de unidades comerciais se eles souberem que seus próprios pescoços estão no laço. Você toma uma atitude muito diferente para a solução de problemas quando seu pescoço está lá também.
“Em segundo lugar, o processo deveria mostrar transparência extrema do processo e visibilidade exagerada das consequências de decisões. As pessoas nas unidades comerciais deveriam poder investigar o processo e ver claramente como ele funciona, como se chega às decisões.
Consequentemente, acredito que eles precisam pensar que se parece com um processo que faz sentido. Isso provavelmente significa que deve ser um processo razoavelmente simples, e não pode haver nenhuma etapa em que ele desapareça misteriosamente no departamento de TI. Nenhuma caixa preta. “Primeiro, o processo deve ser possuído pelas unidades comerciais, não pelo departamento de TI. Cada unidade comercial contribui com um representante que tem a autoridade para tomar decisões. Isso começa a pelo menos resolver o problema do laço no pescoço. Isso impede que o departamento de TI e o CIO sejam os únicos responsáveis por resultados que TI não pode resolver completamente ou impedir que aconteçam. é muito importante para o comportamento de gerentes de unidades comerciais se eles souberem que seus próprios pescoços estão no laço. Você toma uma atitude muito diferente para a solução de problemas quando seu pescoço está lá também.
“Em segundo lugar, o processo deveria mostrar transparência extrema do processo e visibilidade exagerada das consequências de decisões. As pessoas nas unidades comerciais deveriam poder investigar o processo e ver claramente como ele funciona, como se chega às decisões.
Consequentemente, acredito que eles precisam pensar que se parece com um processo que faz sentido. Isso provavelmente significa que deve ser um processo razoavelmente simples, e não pode haver nenhuma etapa em que ele desapareça misteriosamente no departamento de TI. Nenhuma caixa preta.
“Em terceiro lugar - e essa é apenas uma forma de tratar o problema primário que você trouxe, de cuidar disso diretamente - os participantes do processo aceitam e são lembrados de manter algum nível de continuidade e foco no projeto, para evitar rejeição. Sempre que o grupo for tentado a deslocar pessoas ou recursos monetários para tratar da mais recente crise, eles formalmente perdem pesos devido à troca, e de retirar o recurso do projeto ao
qual você está decidindo dar menos precedência.”
Terça-feira, 8 de maio, 10h05
Geisler colocou a cabeça na entrada do escritório de Barton e disse, “Encontrei algo sobre o sistema da Volkswagen da América sobre gerenciar prioridades. ”
Barton convidou-o a entrar. “Passe-me a versão resumida. ”
“É muito interessante, ” disse Geisler. “Um processo anual de três etapas, envolve representantes de todas as unidades comerciais em grandes oficinas durante o período de alguns meses.
“Não ficou claro se funciona. Parece de fato lógico e razoável, mas há muitas reclamações sobre ele, principalmente de pessoas cujos projetos não foram financiados. Vale a pena analisar detalhadamente, entretanto, como um modelo possível para testar. ” Eles não são na verdade uma empresa de carros, são mais uma empresa de importação, marketing e venda de carros. Eles não fabricam; eles deixam isto para a VW AG, a empresa matriz. Mas eles têm algumas coisas únicas. Muita terceirização de TI em sua história, muitos novos programas, um orçamento de TI muito restrito. ”
 Acontece que é muito bem aceito em círculos de desenvolvimento de produtos que se você desejar usar apenas tipos ROI de justificação de projetos para decidir onde investir, você findará fazendo em sua maior parte extensões incrementais a produtos existentes, nunca chegando a avanços inovadores ou investimentos em novas categorias. Uma coisa que li descreve como uma revisão da pasta de projetos em uma empresa, cuja estratégia determinada era sempre ser a líder em tecnologia de produtos, revelou que ela não tinha investido em um projeto com potencial para liderança em tecnologia de produtos por mais de três anos. Seus investimentos em desenvolvimento de produto tinham saído de sincronia com sua estratégia desejada. Achei que isso pareceu-me bastante semelhante com o que TI é acusado o tempo todo. ”
Barton concordou com a cabeça. “Portanto, o processo da Volkswagen da América observa o que eles estão gastando em cada categoria e faz uma pergunta de alto nível: